科学数据 数据安全分级程序.doc

T/CIIA 024—2022 科学数据数据安全分级程序 1 范围 本文件规定了科学数据安全分级工作流程相关要求，对科学数据安全分级程序进行定义，对相关责 任主体的操作规程进行明确规定，并明确提出各环节处理要求等。 本文件适用于科学数据主管部门进行科学数据安全分级管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本 文件。 GB/T 25069 信息安全技术术语 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 科学数据 scientific data 人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始 性、基础性数据，以及根据不同科技活动需要进行系统加工整理的各类数据的集合。 [来源： GB/T 31075-2014,2.2.7] 3.2 科学数据安全分级程序 scientific data security grading procedure 通过一套评定流程确定科学数据安全级别的过程。 3.3 数据安全级别 scientific data security grading 按照科学数据遭到破坏后对国家安全、社会秩序、公共利益以及个人、法人和其他组织的合法权 益(受侵害客体)的危害程度等因素所确定的安全级别。 注： 破坏主要包括攻击、泄露、篡改、非法使用等。 4 确定分级程序的原则 4.1 合规性 科学数据安全分级程序遵循国家法律法规、行业领域主管部门相关制度的要求。 4.2 可执行性 科学数据安全分级程序简洁易行，避免过于复杂，确保分级流程容易操作。 4.3 时效性 科学数据的分级结果及时有效，在设计科学数据安全分级程序时加入对数据级别进行评估和调整 的环节。 4.4 科学性 科学数据具有较强的行业属性，科学数据分级应考虑科学数据所属行业的特定要求，具备一定的科 学性和专业性。 2 T/CIIA 024—2022 5 分级过程中涉及的相关方 分级过程中涉及的相关方包括主管部门、生产者、责任主体单位、数据中心、使用者。 5.1 主管部门 负责本部门(本地区)科学数据政策和规章的制定、指导科学数据的分类、分级等管理工作。 5.2 生产者 科学数据的生产者，对数据具备所有权。 5.3 责任主体单位 科学数据生产者的管理部门，对于生产者的业务工作进行管理和指导。 5.4 数据中心 承担科学数据的整合和汇聚，是科学数据开放共享的重要载体。 5.5 使用者 利用科学数据进行科学研究和应用的相关方。 6 分级流程 6.1 分级流程图 科学数据安全分级流程见图1。 科学数据分级机构及制度建立 科学数据分级机构及制度建立 科学数据资产梳理 科学数据安全分级建议方案制定 科学数据安全级别判定 科学数据安全级别审核 科学数据安全级别批准 科学数据安全级别定期复核/变更 图1 科学数据安全分级流程 3 T/CIIA 024—2022 6.2 分级机构确认及制度建立 主管部门应确认分级机构、负责人和相关相关方，建立本部门(本地区)科学数据安全分级管理制 度，明确分级原则、职责、分级要素和方法、分级结果发布方式等内容。 6.3 科学数据资产梳理 科学数据生产者应对所产生的数据进行全面的整理和分析，梳理科学数据格式，实施数据安全分类， 形成科学数据清单，见附录A。 6.4 科学数据级别建议 科学数据生产者应识别并明确科学数据遵循的法律法规等制度及要求，在科学数据分类的基础上， 依据科学数据影响对象和科学数据安全属性被损害引起的影响程度两个要素，结合分级准则确定的相 关级别要求，明确安全各级别及相应要求，确定科学数据安全级别建议，建议中应明确科学数据类型、 总体情况、分级原则、分级准则，并形成科学数据安全级别表。 6.5 级别判定 责任主体单位应依据分级管理制度确定的级别要求，对科学数据安全分级建议进行逐项判定，对数 据覆盖完整性、数据安全分级建议合理性等进行判断，必要时让科学数据生产者更新科学数据安全分级 建议，最终责任主体单位应形成科学数据分级报告，明确科学数据类型、总体情况、分级原则、分级准 则，并形成科学数据安全级别表。 6.6 级别审核 数据中心依据分级管理制度确定的级别要求对分级报告的内容进行审核，选取科学数据使用者、科 学数据安全管理机构等相关专家组成专家组，对科学数据安全分级报告进行评定。如需调整，则提出相 关建议，且分级报告重新进行级别判定。 6.7 级别批准 对数据中心审核通过的分级报告，应提交主管部门审批和备案。 6.8 级别定期复核 数据中心定期或发生以下情况时重新对数据进行安全分级评定，包括但